Малвер за мобилне уређаје АппЛите Банкер
Стручњаци за сајбер безбедност открили су софистицирану шему за крађу идентитета која има за циљ дистрибуцију ажуриране варијанте банкарског тројанца Антидот. Радећи као мобилна пхисхинг (или лажна) кампања, нападачи се маскирају у регруте који нуде примамљиве прилике за посао.
Преглед садржаја
Понуде за посао прикривање зле намере
Представљајући се као део легитимног процеса регрутовања, нападачи преваре жртве да преузму лажну апликацију. Ова претећа апликација служи као капалица, испоручујући нову варијанту Антидот Банкера на уређај жртве под маском легитимног софтвера.
Представљамо АппЛите Банкер: Прикривена претња
Ажурирани малвер, који су истраживачи безбедности назвали АппЛите Банкер, има напредне могућности. Може да издвоји акредитиве за откључавање уређаја као што су ПИН-ови, шаблони или лозинке и да даљински преузме контролу над зараженим уређајима. Ове карактеристике ехо тактике се виде у сличним претњама као што је ТрицкМо.
Друштвени инжењеринг и шеме послова
Нападачи користе тактике социјалног инжењеринга како би намамили жртве обећањима о уносним приликама за посао. На пример, кампања за крађу идентитета из септембра 2024. представљала је канадску компанију Текимус Тецхнологиес, тврдећи да нуди улоге у служби за кориснике на даљину са атрактивним платама по сату и потенцијалом за развој каријере. Жртве које ступају у контакт са овим „регрутерима“ упућују се да преузму небезбедне апликације са пхисхинг сајтова, чиме се покреће процес инсталације малвера.
Лажне апликације и пхисхинг домени
Штетне апликације, маскиране у ЦРМ алате за запослене, дистрибуирају се преко мреже обмањујућих домена. Ове дроппер апликације вешто избегавају откривање манипулишући ЗИП датотекама и заобилазећи безбедносну одбрану. Од жртава се тражи да региструју налог и инсталирају лажно ажурирање апликације, наводно да би „задржали свој телефон заштићеним“. Наводно ажурирање се затим испоручује преко фалсификованог интерфејса Гоогле Плаи продавнице, довршавајући примену малвера.
Искоришћавање функција приступачности за штетне активности
Као иу претходним итерацијама, апликација АппЛите Банкер злоупотребљава дозволе Андроид Аццессибилити Сервицес. Овај приступ му омогућава да преклапа екране, самододељује дозволе и обавља друге штетне активности.
Кључне функције укључују:
- Крађа акредитива Гоогле налога преко преклапања екрана.
- Промена подешавања уређаја као што су осветљеност екрана и подразумеване апликације.
Проширена контрола над зараженим уређајима
Најновија верзија уводи функције које повећавају ниво претње, укључујући:
- Блокирање позива и скривање СМС порука на основу упутстава удаљеног сервера.
- Послуживање лажних страница за пријављивање за 172 банке, новчанике за криптовалуте и платформе друштвених медија као што су Фацебоок и Телеграм.
- Омогућавање кеилоггинга, крађе СМС-а, прослеђивања позива и виртуелног мрежног рачунарства (ВНЦ) за даљинско управљање уређајима.
Глобална циљна публика
Чини се да кампања циља кориснике у различитим регионима, посебно оне који познају језике као што су енглески, шпански, руски, француски, немачки, италијански и португалски.
Проактивна одбрана је кључна
С обзиром на софистицирану природу и далекосежан утицај ове претње, примена снажних заштитних мера је критична. Корисници би требало да буду опрезни када примају нежељене понуде за посао или упите да инсталирају спољне апликације. Будите опрезни и давање приоритета безбедности мобилних уређаја може помоћи у спречавању потенцијалних података и финансијских губитака.
